资源介绍
Access:学习真实世界的网络防护(英文版电子书)
核心目标:指导管理员实施 Prisma Access(SASE 解决方案),实现安全的网络访问,涵盖从基础搭建到高级配置的全流程。
适用人群:具备 Python 编程、电子学、Linux 命令行基础的网络安全工程师、爱好者及研究人员。
二、核心内容模块
第一部分:激活与配置 Prisma Access 1-4 章 介绍 Prisma Access 设计规划(路由、云基础设施等)、激活流程(租户与 Cortex Data Lake)、服务基础设施设置(Strata Cloud Manager 与 Panorama 配置)、服务连接部署(SC-CAN 的 IPSec 隧道与 BGP 配置)
第二部分:配置移动用户与远程网络节点 5-8 章 远程网络 SPN(RN-SPN)配置(带宽分配、隧道设置)、移动用户 SPN(MU-SPN)配置(GlobalProtect 门户与网关)、安全 Web 网关(SWG)配置(显式代理与 PAC 文件)、安全策略设置(规则、安全配置文件、加密解密)
第三部分:高级配置与最佳实践 9-11 章 用户识别与云身份引擎(CIE 集成、用户 ID redistribution)、高级配置(许可、Cortex Data Lake、Insights 与 ADEM)、ZTNA 连接器(与 SC-CAN 的区别、部署与故障排除)
三、关键技术与组件
核心组件SC-CAN(Service Connection Corporate Access Node):连接数据中心或云环境,支持 IPSec 隧道与 BGP 路由,吞吐量 1 Gbps,无安全 enforcement。
RN-SPN(Remote Network Security Processing Node):连接远程办公室,支持互联网访问与内部资源访问,带宽可分配(最小 50 Mbps,单节点最大 1000 Mbps)。
MU-SPN(Mobile User Security Processing Node):为移动用户提供 VPN 接入,支持 GlobalProtect,用户数超 1200 时自动扩容。
ZTNA 连接器:替代 SC-CAN 的反向代理模式,简化私有应用访问,支持重叠网络,吞吐量最高 10 Gbps / 计算位置。
安全策略规则配置:基于源 / 目的区域、地址、用户、应用等匹配条件,设置允许 / 拒绝等动作,结合安全配置文件(反间谍软件、漏洞防护等)。
加密解密:SSL 解密为深度包检测基础,可配置解密规则与例外(如敏感 URL 类别)。
管理工具Strata Cloud Manager:云原生管理平台,支持安全规则、配置推送等,集成 Insights 与 ADEM。
Panorama:集中管理平台,适用于现有 Palo Alto 设备用户,需安装 Cloud Services 插件。
四、高级特性
Cortex Data Lake:存储日志(流量、威胁等),可配置配额与保留期(如 PCI DSS 要求 1 年),支持日志查询与分析。
Insights 与 ADEM:Insights 提供网络与使用趋势可视化;ADEM(Autonomous Digital Experience Management)通过终端插件监控用户体验,降低故障排查时间。
用户身份识别:通过 CIE 集成目录服务(如 Azure AD),实现用户组映射;用户 ID redistribution 确保跨设备的身份同步。